Archiv der Kategorie: IT-Regeln und Gesetze

Rasches Handeln zahlt sich aus

Bayrisches Staatsministerium fördert die Einführung von ISIS12

Kritische Infrastrukturen sind in der modernen Verwaltung von wichtiger Bedeutung für das staatliche Gemeinwesen. Um die hier zum Einsatz kommenden elektronischen Kommunikationsmedien und IT-Verfahren vor Störungen zu schützen, müssen Kommunen bis Ende 2018 ein ISMS (Informations-Sicherheits-Management-System) einführen. Diejenigen, die bereits jetzt in dieser Richtung aktiv werden, können von attraktiven Förderungen profitieren.

GPP_ISIS12Ausfälle oder Beeinträchtigung im kommunalen Bereich können zu nachhaltig wirkenden Versorgungsengpässen, erheblichen Störungen der öffentlichen Sicherheit und anderen dramatischen Folgen führen. Um hier für alle Beteiligten ein hohes Maß an Verlässlichkeit zu erzielen, wurde vom IT-Planungsrat für Bund und Länder im vergangenen Jahr eine verbindliche Informationssicherheitsleitlinie beschlossen: das Informations-Sicherheits-Management-System (ISMS) nach ISIS12. Das bei Kommunen bisher auf Freiwilligkeit beruhende Verfahren zur Meldung von IT-Sicherheitsvorfällen der Wirtschaft Allianz für Cyber-Sicherheit in Deutschland ist damit jetzt gesetzlich vorgeschrieben.

Kommunen bis 500 Arbeitsplätze

Um eine großflächige Durchdringung dieses wichtigen Systems in Bayern zu unterstützen, wird dessen Implementierung nun vom Staatsministerium zeitlich befristet und mit begrenztem Budget gefördert. Laut Infoblatt Förderung ISIS12 wird Kommunen mit bis zu 500 PC-Arbeitsplätzen dabei geholfen, die Verfügbarkeit, die Vertraulichkeit und die Integrität ihrer IT-Systeme und Daten zu sichern. Förderberechtigt sind alle bayerischen kommunalen Gebietskörperschaften und deren Zusammenschlüsse sowie die von ihnen in öffentlich-rechtlicher Form geführten Unternehmen und Einrichtungen mit Sitz in Bayern.

Lizensierte IT-Diensleister

Förderfähig sind nur solche Leistungen, die von fachkundigen, lizensierten IT-Dienstleistern wie der GGP-Service erfolgen, sofern die Ausgaben unmittelbar im Zusammenhang mit der Implementierung bzw. Zertifizierung eines ISMS stehen, das die Leitlinie für Informationssicherheit in der öffentlichen Verwaltung des IT-Planungsrats abdeckt. Derzeit sind dies der BSI IT-Grundschutz, ISO/IEC 27001 und insbesondere für kleine und mittelgroße Behörden ISIS12. Die organisatorische Abwicklung der Förderung erfolgt durch den Bayerischen IT-Sicherheitscluster e.V. in Regensburg in Form einer Anteilsfinanzierung in Höhe von bis zu 50 Prozent der zuwendungsfähigen Ausgaben – maximal 15.000 EUR.

Begrenzte Mittel

Da die für eine Förderung zur Verfügung stehen Mittel aktuell begrenzt sind und die Anträge in der Reihenfolge des Eingangs bearbeitet werden, ist es ratsam, zeitnah zu handeln, bevor das begrenzte Budget der Förderung verbraucht ist. Gerne unterstützt die GPP Service auch Ihre Kommune bei der Prüfung der Förderfähigkeit und der Erfüllung der geforderten Mindestanforderungen zur Informations-Sicherheit mittels „ISMS in 12 Schritten“. In diesem Rahmen erfolgen ebenfalls die technischen-, organisatorischen-, infrastrukturellen und personellen IT-Sicherheitsmaßnahmen sowie die Zertifizierung durch DQS. Sprechen Sie uns an, wir beraten Sie gerne umfassend und zielführend.

Rüdiger Lehmann


GPP_Prospekt_1.4.2Für weitere Informationen zu unseren Leistungen und Ansprechpartnern laden Sie sich bitte unseren nebenstehenden Prospekt herunter.

Oder Sie kontaktieren uns über das nachstehende Kontaktformular.

 

 

 

Advertisements

Mehr Pflichten für Betreiber kritischer Infrastrukturen

Neues IT Sicherheitsgesetz soll erhöhten Schutz bieten

Das am 27. Juli 2015 in Kraft getretene IT-Sicherheitsgesetz (Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme) soll die Betreiber sogenannter Kritischer Infrastrukturen, wie Energie- oder Telekommunikationsnetze verpflichten, Ihre Netze künftig besser vor Hacker-Angriffen zu schützen. Damit bekommt das auf der Grundlage eines 2005 gemeinsam mit Sicherheitsexperten aus Wirtschaft, Bundesamt für Bevölkerungsschutz und Katastrophenhilfe und Bundeskriminalamt erstellte Basisschutzkonzept jetzt einen gesetzlichen Rahmen.

Blog_GPP_Sept_15Neben der obligatorischen Meldung von IT-Sicherheitsvorfällen werden mit dem Sicherheitsgesetz branchenweit auch Mindeststandards für die IT-Sicherheit bei den Betreibern von gefährdeten IT-Infrastrukturen festgelegt. Das bisher auf Freiwilligkeit beruhende Verfahren zur Meldung von IT-Sicherheitsvorfällen der Wirtschaft Allianz für Cyber-Sicherheit in Deutschland ist damit jetzt gesetzlich vorgeschrieben. Ziel ist es, dass die Branchen künftig selbst solche Standards entwickeln, die dann vom BIS genehmigt werden müssen. Danach sollen die Unternehmen alle zwei Jahre nachweisen, dass sie die Anforderungen noch erfüllen.

Wahrung der öffentlichen Sicherheit

Kritische Infrastrukturen sind Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen. Ihr Ausfall oder ihre Beeinträchtigung würde zu nachhaltig wirkenden Versorgungsengpässen, erheblichen Störungen der öffentlichen Sicherheit oder anderen dramatischen Folgen führen. Dennoch beantwortet das IT-Sicherheitsgesetz noch nicht die Frage, welche Unternehmen konkret als Kritische Infrastrukturen im Sinne des Gesetzes gelten. Definiert das Gesetz die Begrifflichkeit momentan noch eher abstrakt, sollen jedoch in absehbarer Zeit für jede relevante Branche aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen, eigene Rechtsverordnungen zur Klärung dieser Fragestellung erstellt werden.

Erweiterte Zuständigkeiten

Grundsätzlich gilt, dass laut Gesetz die Zuständigkeit des BKA auf bestimmte Cyberdelikte ausgeweitet wird, für die bislang noch die Länder verantwortlich sind. Dafür wird die Zuständigkeit des BKA für die polizeilichen Aufgaben auf dem Gebiet der Strafverfolgung über die bereits bestehende Zuständigkeit für Straftaten nach § 303b StGB (Computersabotage) hinaus ausgedehnt. Auch für den unmittelbaren Schutz von Bürgern sind Verschärfungen geplant. So sollen Internet- oder E-Mail-Anbieter beispielsweise verpflichtet werden, ihre Nutzer zu informieren, falls sie Störungen in deren Accounts feststellen. Telekommunikationsanbieter werden auch angewiesen, Nutzer auf Sicherheitsprobleme in deren Geräten hinzuweisen, wenn diese z.B. entsprechende Mailware-Kommunikationsverbindungen identifizieren.

Besserer Schutz im Fokus

Der noch nicht lange zurückliegende Cyberangriff auf den Deutschen Bundestag zeigt deutlich, dass auch öffentliche Einrichtungen und Unternehmen in Deutschland vermehrt Opfer solcher Attacken werden. Durch Trojaner, Viren und andere Schadsoftware wird die IT-Infrastruktur infiltriert, ausgespäht oder manipuliert. Auf diese Weise können Cyberangriffe insbesondere auch Anlagen und Systeme, die für die Allgemeinheit von erheblicher Bedeutung sind, empfindlich beeinträchtigen, wie die Stromnetze, das Gesundheitssystem oder die Lebensmittelversorgung. Mit dem neu geschaffenen IT-Sicherheitsgesetz möchte die Bundesregierung und der Bundestag solch kritische Infrastrukturen besser als bisher vor den Gefahren von Cyberangriffen schützen.

Rüdiger  Lehmann     Foto: gratisography

Mehr Infos unter: http://www.bmi.bund.de/DE/Themen/Bevoelkerungsschutz

Gerne unterstützen auch wir von der GPP-Service Sie in allen Fragen zur IT-Sicherheit. Kontaktieren Sie uns hier:

 

Bayerisches Innenministerium fördert Kommunen bei Umsetzung von ISIS12

Mit der Förderung bayerischer Kommunen bei der Implementierung von ISIS12 setzt sich das Bayerische Innenministerium jetzt für eine eklatante Erhöhung des IT-Sicherheitsniveaus ein.

ISIS12 ist das derzeit einzige vom IT-Planungsrat von Bund und Ländern gemeinsam mit dem Bayerischen Staatsministerium für Bau und Verkehr akzeptierte Verfahren, das zum BSI IT-Grundschutz weiterentwickelt werden kann. „Damit“, so Innenminister Joachim Herrman in einem Schreiben an den Präsidenten der Bayerischen Handelskammertags, „soll Bayern auch digital das sicherste Bundesland bleiben.“ Sein Anliegen, sich für die Umsetzung von ISIS12 neben den Kommunen auch in kleinen und mittleren Unternehmen einzusetzen, basiert auf den klaren Handlungsempfehlungen von ISIS 12, die mit einem gut leistbaren Aufwand eine hohe Informationssicherheit garantieren.

Seit 2013 können Unternehmen die Lizenz für die Implementierung von ISIS12 erwerben. Ein vom Freistaat Bayern beim Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC) in Auftrag gegebenes Gutachten bestätigt, dass sich ISIS12 an der BSI IT-Grundschutzmethodik orientiert und die Mindestanforderungen des IT-Planungsrats an ein ISMS erfüllt. Förderberechtigt sind alle bayerischen kommunalen Gebietskörperschaften und deren Zusammenschlüsse sowie die von ihnen in öffentlich-rechtlicher Form geführten Unternehmen und Einrichtungen mit bis zu 500 Arbeitsplätzen.

Als eine der ersten Bayerischen Firmen bietet die GPP-Service als lizensierter ISIS12 Dienstleister ab sofort eine speziell auf Kommunen fokussierte Dienstleistung an. Ein auf kommunale Belange gezielt geschulter und ausgebildeter GPP ISIS12 Berater wird diese künftig bei der Durchführung der Ausbildung, die jeder ISIS12 Teilnehmer machen muss, kompetent unterstützen.

Rüdiger Lehmann

Bitte wenden Sie sich als interessierte Kommune entweder an den Projektträger, den Bayerischen IT-Sicherheitscluster e.V. in Regensburg, oder mit folgendem Kontaktformular direkt an die GPP-Service. Wir beraten Sie gerne!

Weitere Infos unter http://www.it-sicherheit-bayern.de

Hereinspaziert… treten Sie näher.

In Sachen sicherer Serverräume handeln viele Unternehmen nur halbherzig. Dabei ist die Vorsorge oft recht einfach.

In 2014 vom Sensor-Hersteller Kentix in 742 Unternehmen durchgeführte Befragungen zur IT-Sicherheit brachten ein erschreckendes Ergebnis: Fast die Hälfte aller Serverräume wiesen gravierende Sicherheitsmängel auf. Ein Zeichen für die viel zitierte „digitale Sorglosigkeit“ ? Es sieht ganz danach aus…

Ausgerechnet da, wo die Daten zentral gesammelt und verteilt werden, scheinen Sicherheitskonzepte über ein Schubladendasein nicht hinaus zu kommen. So ist in fast einem Drittel der Firmen ein separater Serverraum gar nicht erst vorhanden. Vorsichtsmaßnahmen zur Vermeidung von Einbrüchen, Hitze, Feuer oder gegen Wassereinbrüche wurden von fast 40 Prozent der Befragten verneint. Und dort, wo IT-Sicherheit ernster genommen wird, regiert meist die Sparsamkeit: Ein einziger Mitarbeiter ist oft dafür abgestellt, das Team im Umgang mit Kundendaten zu schulen, Prozesse zu kontrollieren und die Überprüfung der physischen Sicherheitsmaßnahmen im Rechenzentrum zu verantworten. Meist in so legerer Weise, dass es kein Problem darstellt, sich unerlaubt Zugang zu verschaffen, um Daten zu kopieren oder zu manipulieren.

Gefährliche Schieflage

Sind Unternehmens-Netzwerke vor digitalen Angriffen durch Viren, DDos-Attacken etc. meist relativ solide geschützt, verfügen 42 Prozent der Befragten über keine Branderkennung, was im Ernstfall dazu führen könnte, den Serverraum komplett der Zerstörung auszusetzen. Bei 47 Prozent der Befragten war die Absicherung ihrer IT auch gegen grundlegende andere physische Risiken, wie beispielsweise einen Spannungsabfall, nur noch mangelhaft. Alles in allem eine gefährliche Schieflage, aus der rasch juristischer und geschäftlicher Ärger entstehen könnte. Denn in den „IT-Grundschutz-Katalogen des Bundesamts für Sicherheit in der Informationstechnik (BSI)“ wird beschrieben, warum neben der eigentlichen Empfehlung, wie die einzelnen Maßnahmen umzusetzen sind, Verantwortliche für die Initiierung bzw. für die Umsetzung dieser Maßnahmen notwendig sind und wie sich deren Haftungsbedingungen gestalten. Doch was als „kurze Beschreibung der wesentlichen Rollen“ gut gemeint ist, stellt sich mit mehr als 40 Funktionen in der Praxis rasch als zu aufwendige Zuordnung dar.

Nutzung eines externen IT-Dienstleisters

So ist Kentix-Geschäftsführer Thomas Fritz vom Ergebnis der Studie auch nicht überrascht. Für das Missverhältnis von Anspruch und Wirklichkeit macht er vor allem zwei Ursachen verantwortlich: den Personalmangel und das Tagesgeschäft. Wichtige Sicherheitsregeln in der IT kosten Geld, das sich nicht nur Privatpersonen, sondern auch Unternehmen am liebsten sparen möchten. Doch wie so oft gilt auch hier: Wenn am falschen Ende gespart wird, kann es teuer werden. Eine Lösungsmöglichkeit liegt, wie in vielen anderen Unternehmensbereichen auch, in der Nutzung von Infrastruktur und Fachwissen eines auf IT-Sicherheit spezialisierten externen Dienstleisters. Dies beschränkt die Arbeit des IT-Verantwortlichen im Unternehmen auf die Verwaltung eines Speichersystems. Ohne Investitionen und laufende Kosten für einen teuren Serverraum mit aufwendiger Haustechnik wie Klimatisierung, Feuerlöschanlage oder Zutrittskontrolle der Räume.

Rüdiger Lehmann

Sie wünschen Informationen zum Thema IT-Sicherheit? Kontaktieren Sie uns hier:

IT-Mindestanforderungen auch für Behörden verschärft

Während der Bundestag die IT-Sicherheit von Unternehmen verbessern will, ringt er weiter um seine eigene. Gerade war das Parlament dabei, neue Regeln für Unternehmen zu beschließen, als Hacker sich im Bundestags-Netz zu schaffen machten. Mit unmittelbaren Folgen: Auch die Bundesbehörden müssen sich nun den für die Wirtschaft konzipierten Sicherheitsauflagen stellen.

Tastatur und Schatten. Datendiebstahl.Es waren Nachrichten, die quer durch die Republik für Nervosität sorgten: Das Computersystem des Bundestages war einem schweren Angriff ausgesetzt. Jetzt müssen, so die Handelsblatt eNews vom 12. Juni 2015, anders als ursprünglich geplant, nicht nur Unternehmen, sondern auch Bundesbehörden bestimmte Mindestanforderungen an ihre Computersysteme erfüllen. Definiert durch das Bundesamt für Sicherheit und Informationstechnik (BSI) sind Banken, Versicherer, Energieanbieter und nun eben auch Behörden verpflichtet, schwere Angriffe auf ihre Systeme zu melden. Nach derzeitigem Stand der Ermittlungen soll die seit vier Wochen andauernde Cyber-Attacke über einen E-Mail Angriff erfolgt sein. Links an mindestens zwei Rechner im Bundestag sollen zu einer Webseite geführt haben, die mit Schadsoftware prepariert war. Das Ausmaß des Schadens, der nach Aussagen der Sicherheitsbehörden eventuell einem Staat angelastet werden könnte, ist noch ungewiss.

Dass IT-Sicherheit nicht von alleine kommt und praktisch jeden Tag neu geschaffen werden muss, ist die Grundlage des Know hows der GPP Service. Gerade weil, wie im Fall des Bundestages, immer neue Lücken und Unwägbarkeiten auftauchen, sind regelmäßige Kontrollen für eine dauerhafte IT-Sicherheit unabdingbar.

Wenn auch Sie und Ihre Kunden von der Wirksamkeit Ihrer IT-Sicherheit überzeugt sein wollen, sprechen Sie uns an. Wir beraten Sie gerne unverbindlich und vertraulich.

Rüdiger Lehmann                  Foto: fotolia